Juniper 高可用性技术白皮书(HA)

NETSCREEN NSRP典型配置及维护
1、NSRP工作原理
NSRP（NetScreen Redundant Protocol）是Juniper公司基于VRRP协议规范自行开发的设备冗余协议。

防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，为满足客户不间断业务访问需求，要求防火墙设备必须具备高可靠性，能够在设备、链路及互连设备出现故障的情况下，提供网络访问路径无缝切换。

NSRP冗余协议提供复杂网络环境下的冗余路径保护机制。

NSRP主要功能有：
1、在高可用群组成员之间同步配置信息；
2、提供活动会话同步功能，以保证发生路径切换情况下不会中断网络连接；
3、采用高效的故障切换算法，能够在短短几秒内迅速完成故障检测和状态切换。

NSRP集群两种工作模式：
一、Active/Passive模式：通过对一个冗余集群中的两台安全设备进行电缆连接和配置，使其中一台设备作为主用设备，另一台作为备用设备。

主用设备负责处理所有网络信息流，备用设备处于在线备份状态。

主设备将其网络和配置命令及当前会话信息传播到备用设备，备用设备始终保持与主用设备配置信息和会话连接信息的同步，并跟踪主用设备状态，一旦主设备出现故障，备份设备将在极短时间内晋升为主设备并接管信息流处理。

二、Active/Active模式：在NSRP中创建两个虚拟安全设备(VSD) 组，每个组都具有自己的虚拟安全接口(VSI)，通过VSI接口与网络进行通信。

设备A充当VSD组1的主设备和VSD 组2的备份设备。

设备B充当VSD组2的主设备和VSD组1的备份设备。

Active/Active模式中两台防火墙同时进行信息流的处理并彼此互为备份。

在双主动模式中不存在任何单一故障点。

NSRP集群技术优势主要体现于：
1、消除防火墙及前后端设备单点故障，提供网络高可靠性。

即使在骨干网络中两类核心设备同时出现故障，也能够保证业务安全可靠运行。

2、根据客户网络环境和业务可靠性需要，提供灵活多样的可靠组网方式。

NSRP双机集群能够提供1、Active-Passive模式Layer2/3多虚拟路由器多虚拟系统和口型/交叉型组网方式；2、Active-Active模式Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组网方式。

为用户提供灵活的组网选择。

3、NSRP双机结构便于网络维护管理，通过将流量在双机间的灵活切换，在防火墙软件升级、前后端网络结构优化改造及故障排查时，双机结构均能够保证业务的不间断运行。

4、结合Netscreen虚拟系统和虚拟路由器技术，部署一对NSRP集群防火墙，可以为企业更多的应用提供灵活可靠的安全防护，减少企业防火墙部署数量和维护成本。

2、NSRP Active/Passive模式配置
Active/Passive模式也就是主/备模式，该组网模式是当前很多企业广泛采用的HA模式，该模式具有对网络环境要求不高，无需网络结构做较大调整，具有较好冗余性、便于管理维护等优点。

缺点是Netscreen防火墙利用率不高，同一时间只有一台防火墙处理网络流量；冗余程度有限，仅在一侧链路和设备出现故障时提供冗余切换。

但主/备模式具有较强冗余性、低端口成本和网络结构简单、便于维护管理等角度考虑，成为很多企业选用该组网模式的标准。

配置说明：两台Netscreen设备采用相同硬件型号和软件版本，组成Active/Passive冗余模式，两台防火墙均使用一致的Ethernet接口编号连接到网络。

通过双Ethernet端口或将1个Ethernet接口放入HA区段，其中控制链路用于NSRP心跳信息、配置信息和Session会话同步，数据链路用于在两防火墙间必要时传输数据流量。

命令模式配置说明如下：
NS-A（主用）：
Set hostname NS-A /***定义主机名***/
Set interface ethernet1 zone untrust
Set interface ethernet1 ip 100.1.1.4/29
Set interface ethernet1 route /***配置接口：Untrust/Trust Layer3 路由模式***/
Set interface ethernet2 zone trust
Set interface ethernet2 ip 192.168.1.4/29
Set interface ethernet2 route
Set interface mgt ip 192.168.2.1/24 /***通过管理口远程管理NS-A***/
Set interface ethernet3 zone HA
Set interface ethernet4 zone HA /***Eth3和Eth4口用于HA互连，用于同步配置文件、会话信息和跟踪设备状态信息***/
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 50 /***缺省值为100，低值优先成为主用设备***/
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1 /***配置NSRP：Vsd-group缺省为0，VSI使用物理接口IP地址,非抢占模式***/
NS-B（备用）：
Set hostname NS-B /***定义主机名***/
Set interface ethernet1 zone Untrust
Set interface ethernet1 ip 100.1.1.4/29
Set interface ethernet1 route
Set interface ethernet2 zone trust
Set interface ethernet2 ip 192.168.1.4/29
Set interface ethernet2 route /***配置接口：Untrust/Trust Layer3 路由模式***/
Set interface mgt ip 192.168.2.2/24 /***通过管理口远程管理NS-A***/
Set interface ethernet3 zone HA
Set interface ethernet4 zone HA /***Eth3和Eth4口用于HA互连，用于同步配置文件、会话信息和跟踪设备状态信息***/
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1 /***Vsd-group缺省为0，VSI使用物理接口IP地址，备用设备：优先级100，成为非抢占模式***/
3、NSRP Active/Active Full-Mesh模式配置
Fullmesh连接组网使用全交叉网络连接模式，容许在同一设备上提供链路级冗余，发生链路故障时，由备用链路接管网络流量，防火墙间无需进行状态切换。

仅在上行或下行两条链路同时发生故障情况下，防火墙才会进行状态切换，Fullmesh连接进一步提高了业务的可靠性。

该组网模式在提供设备冗余的同时提供链路级冗余，成为很多企业部署关键业务时的最佳选择。

典型拓扑如下：
Fullmesh连接组网模结构提供了一种更为灵活的组网方式，在保证网络高可靠性的同时提升了网络的可用性。

该结构中两台防火墙同时作为主用设备并提供互为在线备份，各自独立处理信息流量并共享连接会话信息。

一旦发生设备故障另一台设备将负责处理所有进出网络流量。

Fullmesh 组网模式对网络环境要求较高，该组网方式中两台防火墙为双Active状态，但要求网络维护人员具备较强技术能力，防火墙发生故障时，接管设备受单台设备容量限制，可能会导致会话连接信息丢失，采用A/A fullmesh模式组网时，建议每台防火墙负责处理的会话连接数量不超过单台设备容量的50％，以确保故障切换时不会丢失会话连接。

配置说明：定义VSD0和VSD1虚拟安全设备组(创建Cluster ID时将自动创建VSD0)，其中NS-A为VSD0主用设备和VSD1备用设备，NS-B为VSD1主用设备和VSD0备用设备；创建冗余接口实现两物理接口动态冗余；配置交换机路由指向来引导网络流量经过哪个防火墙。

命令配置说明如下：
NS-A(Active)：
Set hostname NS-A /***定义主机名***/
Set interface mgt ip 192.168.2.1/24 /***通过管理口远程管理NS-A***/
set interface redundant1 zone Untrust /***创建冗余接口1，用于Untrust接口冗余***/
set interface redundant1 ip 100.1.1.4/29 /***创建冗余接口管理地址***/
Set interface ethernet 1 zone null /***默认为Null***/
Set interface ethernet 2 zone null
Set interface ethernet 3 zone null
Set interface ethernet 4 zone null
set interface ethernet1 group redundant1 /***将物理接口加入冗余接口1***/
set interface ethernet2 group redundant1
set interface redundant2 zone trust /***创建冗余接口2，用于trust接口冗余***/
set interface redundant2 ip 192.168.1.4/29
set interface redundant2 manage-ip 192.168.2.1
set interface ethernet3 group redundant2
set interface ethernet4 group redundant2
set interface redundant1:1 ip 100.1.1.5/29 /***配置冗余接口、定义Vsd0 接口IP地址***/
set interface redundant2:1 ip 192.168.1.5/29 /***VSD1的VSI接口需手动配置IP地址，冒号后面的1表示该接口属于VSD1的VSI***/
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp vsd-group id 0 priority 50
set nsrp vsd-group id 1 /*** VSD1使用缺省配置，优先级为100***/
set nsrp rto-mirror sync
set nsrp monitor interface redundant1
set nsrp monitor interface redundant2
set nsrp secondary-path ethernet2/1 /***定义NSRP备用心跳接口，保证心跳连接信息不会丢失***/
set arp always-on-dest /***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/ set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1
set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1
NS-B(Active)：
set interface redundant1 zone Untrust
set interface redundant1 ip 100.1.1.4/29
set interface ethernet1 group redundant1 /***VSD0的VSI接口使用物理接口IP地址***/
set interface ethernet2 group redundant1
set interface redundant2 zone trust
set interface redundant2 ip 192.168.1.4/29
set interface redundant2 manage-ip 192.168.2.2
set interface ethernet3 group redundant2
set interface ethernet4 group redundant2 /***配置冗余接口、定义Vsd0 接口IP地址***/
set interface redundant1:1 ip 100.1.1.5/29
set interface redundant2:1 ip 192.168.1.5/29
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set nsrp cluster id 1 /***定义一致的Cluster ID，自动启用采用缺省配置的VSD0***/
set nsrp rto-mirror sync
set nsrp vsd-group id 1 priority 50
set nsrp monitor interface redundant1
set nsrp monitor interface redundant2
set nsrp secondary-path ethernet2/1 /***定义NSRP备用心跳接口，保证心跳连接信息不会丢失***/
set arp always-on-dest /***强制采用基于ARP表而不是会话中的MAC地址转发封包***/
set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1
set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1
4、NSRP常用维护命令
1、get license-key
查看防火墙支持的feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。

Lite版本是简化版，支持设备和链路冗余切换，不支持配置和会话同步。

2、exec nsrp sync global-config check-sum
检查双机配置命令是否同步
3、exec nsrp sync global-config save
如双机配置信息没有自动同步，请手动执行此同步命令，需重启系统。

4、get nsrp
查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。

5、Exec nsrp sync rto all from peer
手动执行RTO信息同步，使双机保持会话信息一致
6、exec nsrp vsd-group 0 mode backup
手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。

7、exec nsrp vsd-group 0 mode ineligible
手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。

8、get alarm event
检查设备告警信息，其中将包含NSRP状态切换信息
其它命令常用
1、清空备机配置命令
Unset all
"Erase all system config, are you sure y / [n]?" Y
Reset
"Configuration modified, save? [y] / n" N
"System reset, are you sure? y / [n]" Y
2、系统重新启动后配置命令
Set hostname xxxxxx
Set interface mgt ip x.x.x.x/x
Set nsrp cluster id 1
Exec nsrp sync file
Exec nsrp sync global-config run
/***适应于5.1以上版本，5.0中使用Exec nsrp sync global-config save命令，需要重启设备***/
Set nsrp rto-mirror sync
Save all
3、检查设备状态
Nsrp：get nsrp
接口：Get interface
路由：get route
会话：get session
附录一NSRP 缺省设置值
1、VSD 组信息
VSD group ID:0
Device priority in the VSD group:100
Preempt option:disable
Preempt hold-down time:0 second
Initial state hold-down time:5 second
Heartbeat interval:1000 milliseconds
Lost heartbeat threshold:3
Master (Primary) always exist:no
2、RTO 镜像信息
RTO synchronization:disable
Heartbeat interval:4 second
Lost heartbeat threshold:16
3、NSRP 链接信息
Number of gratuitous ARPs:4
NSRP encryption:disable
NSRP authentication:disable
Track IP:none
Interfaces monitored:none
Secondary path:none
HA link probe:none
Interval:15
Threshold:5
备注：
unset interface e4 ip 将e4的ip地址删除
set interface e4 zone ha 将e4和HA区域绑定一起
SSG550-> set nsrp cluster id 1 设置cluster组号
SSG550(M)-> set nsrp vsd id 0 设置VSD的组号,这条命令可以不用输入，因为Netscreen防火墙的默认的虚拟安全数据库（VSD）的值是0。

SSG550(M)-> set nsrp vsd-group id 0 priority 50 设置NSRP主设备的优先权值，priority值越小，优先权越高。

SSG550(M)-> set nsrp rto syn 设置配置同步
SSG550(M)-> set nsrp vsd-group id 0 monitor interface ethernet3 设置防火墙监控的端口，假设端口3出现故障或所连接的交换机出现故障，防火墙的工作状态将切换到备份防火墙上。

SSG550(M)-> set nsrp vsd-group id 0 monitor interface ethernet1 设置防火墙监控的端口，假设端口1出现故障或所连接的交换机出现故障，防火墙的工作状态将切换到备份防火墙上。

注：如没有监控端口2，端口2出现故障或连接网络出现故障，将不会激活防火墙工作状态切换
get nsrp 查看冗余状态
SSG550(M)-> set nsrp vsd-group hb-interval 200 设置心跳信息每隔200秒将发出问候信息
SSG550(M)-> set nsrp vsd-group hb-threshold 3 设置心跳信息总共发出3次问候信息
ISG1000-> set nsrp cluster id 1 设置cluster组号
ISG1000(B)-> set nsrp vsd id 0 设置VSD的组号,这条命令可以不用输入，因为Netscreen防火墙的默认的虚拟安全数据库（VSD）的值是0。

ISG1000(B)-> set nsrp vsd-group id 0 priority 100 设置NSRP主设备的优先权值，priority值越小，优先权越高。

ISG1000(B)-> set nsrp rto syn 设置配置同步
ISG1000(B)-> set nsrp vsd-group id 0 monitor interface ethernet3 设置防火墙监控的端口，假设端口3出现故障或所连接的交换机出现故障，防火墙的工作状态将切换到备份防火墙上。

ISG1000(B)-> set nsrp vsd-group id 0 monitor interface ethernet1 设置防火墙监控的端口，假设端口1出现故障或所连接的交换机出现故障，防火墙的工作状态将切换到备份防火墙上。

ISG1000(B)-> set nsrp vsd-group hb-interval 200 设置心跳信息每隔200秒将发出问候信息
ISG1000(B)-> set nsrp vsd-group hb-threshold 3 设置心跳信息总共发出3次问候信息
ISG1000(B)-> save
在备机上同步配置
NS-A(B)-> exec nsrp sync global-config check-sum （将两台设备的配置进行校检，如有不同，备份的设备将会在重启后把主设备上的配置导入备份主机中）
NS-A (B)-> exec nsrp sync global-config save （如有不同，备份的设备将会在重启后把主设备上的配置导入备份主机中）。